Phishing, a bezpieczeństwo danych Twojej firmy

Kłódka bezpieczeństwa na tle kodu komputerowego

Prowadzenie firmy zawsze obarczone jest pewnym ryzykiem, nie tylko finansowym. Wraz z postępującym rozwojem technologicznym, ewoluują istniejące już zagrożenia, a nowe nieprzerwanie powstają. Świadomość ich istnienia jest jednym z kluczowych elementów zapewniających bezpieczeństwo przedsiębiorstwa. Phishing, który jest niezwykle prostym, a zarazem zaskakująco skutecznym sposobem na zdobycie dostępu do wrażliwych danych to metoda oszustwa, o której powinien wiedzieć każdy właściciel firmy.

Czym jest phishing?

Kłódka stojąca na klawiaturze komputera

Phishingiem nazywamy metodę oszustw przeprowadzanych za pośrednictwem sieci. Zadaniem ataku jest zazwyczaj wyłudzenie poufnych danych, lub rzadziej – zmuszenie użytkownika do podjęcia określonych działań. Chociaż zdarza się, że atak skierowany jest na użytkowników indywidualnych, to najczęstszym celem phishingu – nie bez powodu – pozostają firmy, które dla sprytnych oszustów mogą okazać się być kopalniami złota.

Podstawowym narzędziem wykorzystywanym w atakach phishingowych są wiadomości e-mail, które do złudzenia przypominają te wysyłane z zaufanych domen. Najczęściej samo posłużenie się bardzo zbliżoną nazwą nadawcy oraz odtworzenie układu graficznego oficjalnych wiadomości wystarczy, by niezbyt spostrzegawcze osoby dały się nabrać.

Chociaż rodzajów phishingu jest wiele, na szczególną uwagę zasługuje jeden z nich – spear phishing. Plan przeprowadzenia ataku tą metodą obejmuje dokładne monitorowanie zachowań konkretnej ofiary, pozyskanie jej danych, a następnie wysłanie wiadomości z jej adresu e-mail do innego pracownika firmy. W treści takiej wiadomości najczęściej umieszcza się polecenie wykonania przelewu, natomiast kierowana jest ona do osób, które upoważnione są do dokonywania takich transakcji. Co więcej, oszuści podszywając się pod osobę zlecającą przelew, potwierdzają konieczność jego wykonania dzwoniąc do odbiorcy fałszywej wiadomości.

Zagrożenia dla bezpieczeństwa firmy

Odebrany przez ofiarę e-mail zawiera zazwyczaj linki kierujące do określonych stron internetowych, gdzie nic nie podejrzewająca osoba loguje się, podając swoje dane. Wykradnięcie przez oszusta danych logowania np. do któregoś z for internetowych nie byłoby ogromnym niebezpieczeństwem. Niestety, celem przestępców są najczęściej dane, które mogą im przynosić niemałe zyski – loginy i hasła kont bankowych czy profili firmowych.

Śledztwo lupą nad klawiaturą komputera

Co więcej, niektórzy oszuści umieszczają w wiadomościach załączniki, które mogą zainfekować komputer odbiorcy, instalując na nim chociażby keylogger. Keyloggery stworzone zostały do rejestrowania każdego naciśnięcia klawisza na klawiaturze. Stanowi to niezwykle istotny problem, gdyż w takim przypadku oszust zyskuje dostęp do ogromnej ilości wrażliwych danych.

Problem phishingu może wydawać się niezbyt istotny, jednak jak dowodzi historia – niekiedy może mieć bardzo poważne skutki. Znane są przypadki, gdy oszuści posługujący się metodą spear phishingu zdołali wyłudzić od firm miliony dolarów.

Jak bronić się przed phishingiem?

Phishing jest zagrożeniem, którego sukces zależy w znacznym stopniu od świadomości i spostrzegawczości potencjalnej ofiary. Najlepszym posunięciem wydaje się być zwiększenie wiedzy z zakresu cyberprzestępstw wśród pracowników, a także wprowadzenie konieczności kilkustopniowej autoryzacji transakcji.

Do tej pory nie wynaleziono żadnej skutecznej technologii, która pozwoliłaby wyeliminować ryzyko ataków phishingowych. Jedyną propozycją pozostają filtry zatrzymujące SPAM, które niestety wciąż charakteryzują się niską efektywnością.

Chroń swoją firmę

Jak donoszą oficjalne raporty Narodowego Centrum Cyberprzestępstwa, ataki phishingowe mają miejsce także i w Polsce. Chociaż ich liczba nie jest zatrważająca, to warto zabezpieczyć własną firmę przed potencjalnymi atakami poprzez edukację pracowników. Tylko w taki sposób można obecnie zminimalizować szkodliwość działalności oszustów.